二层交换机
1.基本操作
进入系统视图:
退出当前视图:
[Huawei] quit
保存当前配置:
[Huawei] save
显示当前配置:
[Huawei] display current-configuration
查看帮助信息:
[Huawei] ?
设置主机名:
[Huawei] sysname SW-Office-01
2.端口配置
进入接口配置模式:
[Huawei] interface GigabitEthernet 0/0/1
为端口添加描述:
[Huawei-GigabitEthernet0/0/1] description To Server Room - Web Server 1
设置端口速率和双工模式:
[Huawei-GigabitEthernet0/0/1] speed 1000
[Huawei-GigabitEthernet0/0/1] duplex full
启用或禁用端口:
[Huawei-GigabitEthernet0/0/1] shutdown
[Huawei-GigabitEthernet0/0/1] undo shutdown
配置端口安全:
[Huawei-GigabitEthernet0/0/1] port-security enable
[Huawei-GigabitEthernet0/0/1] port-security maximum-mac-count 1
3.VLAN管理
创建VLAN:
[Huawei] vlan 10
[Huawei-vlan10] description Sales Department
[Huawei-vlan10] quit
将端口分配给VLAN:
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] port link-type access
[Huawei-GigabitEthernet0/0/1] port default vlan 10
配置Trunk端口:
shell深色版本
[Huawei] interface GigabitEthernet 0/0/25
[Huawei-GigabitEthernet0/0/25] port link-type trunk
[Huawei-GigabitEthernet0/0/25] port trunk allow-pass vlan 10 20
查看VLAN信息:
[Huawei] display vlan
4.生成树协议(STP)
启用STP:
[Huawei] stp enable
配置STP优先级:优先级范围是0到65535,默认值是32768。较低的数值表示更高的优先级。
[Huawei] stp priority 4096
查看STP状态:
[Huawei] display stp
5.安全性设置
配置ACL:
[Huawei] acl number 3000
[Huawei-acl-adv-3000] rule 5 permit ip source 192.168.1.0 0.0.0.255
[Huawei-acl-adv-3000] quit
应用ACL到端口:
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl 3000
配置SSH/Telnet登录安全:
[Huawei] user-interface vty 0 4
[Huawei-ui-vty0-4] authentication-mode aaa
[Huawei-ui-vty0-4] protocol inbound ssh
配置访问控制列表(Access Control List, ACL)是网络管理和安全策略实施中的一个重要组成部分。ACL可以用来过滤进出接口的数据流量,基于源IP地址、目的IP地址、协议类型等条件进行匹配,并决定允许或拒绝这些流量。
在华为交换机上,ACL分为基本ACL、高级ACL和其他类型的ACL(如二层ACL、用户自定义ACL)。下面我将介绍如何配置一个简单的高级ACL来过滤IPv4流量,并将其应用到特定的接口上。
配置高级ACL
步骤:
进入系统视图:
创建ACL: 使用acl命令创建一个新的ACL。对于高级ACL,编号范围是3000-3999。
例如,创建一个编号为3000的高级ACL:
[Huawei] acl number 3000
添加规则: 使用rule命令向ACL中添加具体的规则。你可以根据需要指定多个规则,每个规则都有唯一的序号(默认从5开始,每次增加5)。
允许来自192.168.1.0/24网段的所有流量:
[Huawei-acl-adv-3000] rule 5 permit ip source 192.168.1.0 0.0.0.255
拒绝来自172.16.0.0/16网段的所有流量:
[Huawei-acl-adv-3000] rule 10 deny ip source 172.16.0.0 0.255.255.0
退出ACL配置模式:
[Huawei-acl-adv-3000] quit
应用ACL到接口: 选择你想要应用ACL的接口,并使用traffic-filter命令将ACL应用于入站或出站流量。
假设你想将ACL 3000应用到GigabitEthernet 0/0/1端口的入站流量:
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl 3000
[Huawei-GigabitEthernet0/0/1] quit
保存配置(确保更改生效):
[Huawei] save
示例命令流程:
shell深色版本
[Huawei] acl number 3000
[Huawei-acl-adv-3000] rule 5 permit ip source 192.168.1.0 0.0.0.255
[Huawei-acl-adv-3000] rule 10 deny ip source 172.16.0.0 0.255.255.0
[Huawei-acl-adv-3000] quit
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl 3000
[Huawei-GigabitEthernet0/0/1] quit
[Huawei] save
查看ACL配置和状态
要查看当前设备上的ACL配置和状态,可以使用以下命令:
这将显示所有已配置的ACL及其规则。
删除ACL
如果你需要删除某个ACL或其规则,可以使用以下命令:
删除整个ACL:
[Huawei] undo acl number 3000
删除特定规则:
[Huawei] acl number 3000
[Huawei-acl-adv-3000] undo rule 5
[Huawei-acl-adv-3000] quit
注意事项
规则顺序:ACL规则是按顺序检查的,一旦匹配成功就会立即执行相应的动作(允许或拒绝),因此规则的排列顺序非常重要。
默认行为:如果没有显式地允许某类流量,则默认会被拒绝。所以在设计ACL时,通常最后一条规则应为拒绝所有未明确允许的流量。
测试与验证:在生产环境中应用前,最好先在一个测试环境中验证配置的效果,确保不会对现有业务造成负面影响。
日志记录:为了更好地监控ACL的效果,可以启用日志记录功能,跟踪被允许或拒绝的数据包。
6.监控和日志
配置日志服务器:
[Huawei] info-center loghost 192.168.1.100
启用SNMP:
[Huawei] snmp-agent sys-info version v2c
[Huawei] snmp-agent community read public
[Huawei] snmp-agent community write private
查看接口统计信息:
[Huawei] display interface GigabitEthernet 0/0/1
查看系统日志:
[Huawei] display logbuffer
7.其他实用命令
查看版本信息:
[Huawei] display version
查看设备运行时间:
[Huawei] display clock
重启设备:
[Huawei] reboot
8.实操配置
1.使用一台交换机通过VLAN来隔离不同网段之间的通信
#批量创建vlan 10 20
vlan batch 10 20
#配置该接口为access模式并加入vlan 10【Access port一般用于交换机和用户PC主机相连】
interface Ethernet0/0/1
port link-type access
port default vlan 10
#配置该接口为access模式并加入vlan 20
interface Ethernet0/0/2
port link-type access
port default vlan 20
#配置该接口为access模式并加入vlan 10
interface Ethernet0/0/3
port link-type access
port default vlan 10
2.使用两台交换机实现相同vlan互通,不同vlan不通。
LSW1配置:
#交换机命名
sysname LSW1
#批量创建vlan 10 20
vlan batch 10 20
#将该接口修改为access 并且加入vlan 10
interface Ethernet0/0/1
port link-type access
port default vlan 10
#将该接口修改为access 并且加入vlan 20
interface Ethernet0/0/2
port link-type access
port default vlan 20
#将该接口修改为trunk模式【Trunk port一般用于连接交换机】,并且放行vlan 10 20
interface Ethernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20
LSW2配置:
#交换机命名
sysname LSW2
#批量创建vlan 10 20
vlan batch 10 20
#将该接口修改为access 并且加入vlan 10
interface Ethernet0/0/1
port link-type access
port default vlan 10
#将该接口修改为access 并且加入vlan 20
interface Ethernet0/0/2
port link-type access
port default vlan 20
#将该接口修改为trunk模式,并且放行vlan 10 20
interface Ethernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20
知识点:
Access模式
单VLAN通信:Access端口通常用于连接终端设备,如计算机、打印机等,或者只属于一个VLAN的交换机。
无标签数据帧:当数据帧从Access端口进入或离开时,如果该端口是为某个VLAN配置的,则会自动添加或移除802.1Q VLAN标签。也就是说,用户设备不需要关心VLAN标签的事情。
默认VLAN:每个Access端口都会分配一个默认的VLAN,所有未标记的数据帧都会被认为是属于这个VLAN。
Trunk模式
多VLAN通信:Trunk端口用于交换机之间或交换机与路由器之间的连接,能够承载多个VLAN的流量。
带标签数据帧:Trunk端口发送和接收带有802.1Q VLAN标签的数据帧。这允许来自不同VLAN的数据帧在同一物理链路上共存,并且可以根据标签正确地路由到目的地。
本征VLAN (Native VLAN):Trunk端口有一个特殊的VLAN称为本征VLAN,它用于传输未标记的数据帧。通常情况下,同一Trunk链路两端的交换机应该配置相同的本征VLAN。
简而言之,Access端口是为单一VLAN服务的,而Trunk端口可以跨越多个VLAN并管理它们之间的通信。选择哪种模式取决于网络设计需求和连接设备的要求。
三层交换机
配置vlan基础通信
#创建VLAN并添加端口
[Huawei] vlan 1
[Huawei-vlan1] port 10GE1/0/1
...
[Huawei-vlan1] port 10GE1/0/48
[Huawei-vlan1] quit
# 配置VLAN接口的IP地址
[Huawei] interface Vlanif 1
[Huawei-Vlanif1] ip address 192.168.100.254 255.255.255.0
[Huawei-Vlanif1] quit
[Huawei] save
#查看端口
[Huawei] display interface brief
#检查配置
[Huawei] display vlan
[Huawei] display ip interface brief
#删除vlan
[Huawei] interface Vlanif 1
[Huawei-Vlanif1] undo ip address
[Huawei-Vlanif1] quit
[Huawei] undo interface Vlanif 1
[Huawei] undo vlan 1
[Huawei] save
[Huawei] display vlan
[Huawei] display ip interface brief